A recém publicada Lei 13.709, de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais dispõe sobre o tratamento de dados pessoais a ser realizado por pessoas físicas ou jurídicas, sejam elas de direito público ou privado, e tem como objetivo principal proteger direitos fundamentais de liberdade e privacidade. A lei prevê ainda que algumas questões serão definidas por meio de regulamento a ser ainda publicado, inclusive as normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta lei, o que ocorrerá em fevereiro de 2020 (art. 63).
Esta lei atingirá todas as pessoas, físicas ou jurídicas, que realizem tratamento de dados, assim entendido como toda operação realizada com dados pessoais, tais como coleta, produção, recepção, classificação, processamento, arquivamento, distribuição, modificação, etc (inc. X do art. 5º), ou seja, sites, aplicativos, estabelecimentos físicos ou virtuais, que em algum momento recebam dados de seus usuários, clientes, ou de qualquer pessoa que por ali transitar, estarão sujeitos às normas desta legislação.
Por sua vez, dados pessoais são todas as informações relacionadas à pessoa natural, existindo ainda as informações tidas como sensíveis (dado pessoal sensível) que são aquelas relacionadas à origem racial ou étnica, religião, opção sexual, filiações a sindicatos ou organizações de caráter religioso, filosófico e político, por exemplo.
Veja que dados pessoais são quaisquer informações que sejam capazes de identificar uma pessoa, ou seja, não apenas informações como nome, filiação, número de documentos ou endereço, mas também imagens, biometria, lugar onde trabalha, profissão, empresas de que faz parte, templos religiosos que frequenta etc.
As figuras responsáveis pelo tratamento dos dados e por adotarem as medidas de segurança para proteção destes dados pessoais são chamados de Agentes de Tratamento, que são o Controlador e o Operador.
O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
Já o Operador é também pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados em nome do controlador e conforme suas orientações.
O canal de comunicação entre os Agentes de Tratamento, o Titular dos Dados e a Autoridade Nacional (a ser criada por meio de instrumento normativo próprio) será realizado pelo chamado Encarregado, que deverá ser uma pessoa natural, indicada pelo Controlador:
Tem-se ainda que o art. 42 estabelece que o controlador e o operador que causar dano a outrem, seja ele patrimonial, moral, individual ou coletivo, no exercício de atividade de tratamento de dados, será obrigado a reparar este dano. Este artigo também prevê a solidariedade entre controlador e operador, nos seguintes termos:
Art. 42. (...)
§1º A fim de assegurar a efetiva indenização ao titular dos dados:
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, saldo nos casos de exclusão previstos no art. 43 desta Lei.
§2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Por sua vez, o art. 43 estabelece que:
Art. 43. Os agentes de tratamento não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houver violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Tem-se ainda que a legislação considera irregular o tratamento de dados pessoais nos seguintes casos:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoas disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Quanto às relações de consumo, o art. 45 prevê que:
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Assim, em suma teremos os seguintes personagens envolvidos com o tratamento de dados pessoais e com as seguintes atribuições:
Na segunda parte falaremos um pouquinho sobre os princípios que regem a o tratamento de dados pessoais e a forma com que este tratamento deverá ocorrer – as limitações, requisitos e obrigações dos Agentes de Tratamento e os direitos do Titular dos Dados.
Até a próxima!